Detección y recuperación de incidentes causados por virus
Las experiencias han demostrado qué pasos efectivos seguir en esta batalla diaria dentro del ciberespacio. Aprenda cómo detectar un virus y, si se descubre que la instalación ha sido infectada, qué respuesta inmediata y contramedidas pueden ser tomadas. .
 
Otros documentos:
Mitos de Políticas de Seguridad
Auditorías bajo demanda (I)
Auditorías bajo demanda (II)
Retorno de la inversión
Incidentes por virus
Combatiendo SPAM
Inicio > Documentos > Incidentes por virus
 
Cuando nuevos virus, gusanos o cualquier otro tipo de código malicioso se hacen presentes, los departamentos de Tecnología de Información (TI) de las organizaciones y los proveedores de software antivirus pueden sólo "reaccionar" en lugar de "adelantarse" a las últimas amenazas. Es así, que no existe una forma de protección total de las direcciones IP sobre los virus basados en correo electrónico en la web, corriéndose por el contrario el riesgo del desmantelamiento total de las redes.
 
  • Identificación del ataque.
    • Una vez que el virus entra a la red, se propaga de múltiples maneras. Algunos virus buscan sistemas que permiten la compartición de archivos e intentan accesar e infectar sus archivos. Otros se autoenvían por correo electrónico a los distintos nodos de la red. Otros se propagan de maneras no esperadas, incluyendo el uso de los sistemas de mensajería instantánea o aplicaciones "peer-to-peer". Un solo equipo infectado dentro de su red puede rápidamente infectar muchos otros.

      ¿Realmente es un virus?
      Cuando un virus logra escapar del antivirus y/o del software de detección de intrusos, típicamente señala su presencia, ya sea como resultado directo de su intento de propagación o como un efecto colateral. Los indicadores comunes de infección por virus incluyen:

      Sonidos o imágenes inesperados: especialmente si están en distintos sistemas.
      Indicadores sobre archivos: son los más comunes pero difíciles de detectar.
  • Identificación y evaluación de la infección.
    • Una vez determinado que un virus es el causante del indicador, lo siguiente es identificar la naturaleza del ataque. Para decidir cómo proceder, se debe conocer el virus por medio de los fabricantes de software antivirus para conocer las posibles repercusiones en el ambiente de la red.

      Evalúe la infección e identifique las maneras más rápidas de detener su propagación:
      ¿Cómo arribó el virus a la red?
      Si llegó vía SMTP, el filtrado de contenido pudo detenerlo. Si llegó vía browsing a un servidor infectado, se pueden bloquear URLs. Si llegó vía aplicaciones peer-to-peer o de chat, intente bloquear los puertos específicos usados por estas aplicaciones a nivel del firewall.
      ¿Se propagó por compartición de archivos?. Deshabilitarla y eliminar permisos administrativos innecesarios.
      ¿Utiliza un groupware?. El filtrado de contenido puede detenerlo. Si el virus instala su propio server SMTP, se puede bloquear temporalmente el puerto 25 a nivel del firewall.
      Si el virus utiliza alguna cuenta de usuario para propagarse, deshabilitar dicha cuenta.
  • Conteniendo el ataque.
    • La contención de las amenazas debe basarse en las políticas de la organización de respuesta ante incidentes y ejecutarlas sólo cuando se haya recabado suficiente información para tomar las decisiones adecuadas. Todas estas acciones de contención deben ser controladas de manera centralizada:

      Particionamiento de la red usando firewalls, routers o switches.
      Reconfiguración de DNS para deshabilitar el correo SMTP.
      Cambiar el software de filtrado de contenido para bloquear los archivos adjuntos en los correos.
      Bloqueo de acceso interno FTP y HTTP.
      Consideración de envío al personal a sus hogares, dependiendo de la severidad del ataque o remover las estaciones afectadas de la red, permitiendo a los usuarios continuar con sus labores de manera local.
      Si el riesgo es extremo, desconectar la red de Internet.
  • Creación de un procedimiento de limpieza.
    • La limpieza comienza con la obtención de la firma de los virus o las herramientas de remoción del fabricante del antivirus, y deben ser probadas antes de ser distribuidas hacia todos los sistemas. Estos procesos están típicamente incluidos en las reseñas técnicas del virus. Asimismo, sobre los sistemas infectados que no poseen software antivirus, es recomendable remover primero el virus antes de instalar el antivirus.

      El personal de Help Desk generalmente puede liderar y documentar el proceso de limpieza, en conjunción con el personal de TI. La administración del proyecto hasta su culminación debería ser rápida y sencilla si se tienen las políticas y procedimientos en su lugar. Use formularios para llevar el progreso y para asegurar que todos los sistemas han sido desinfectados y patcheados. Siempre que sea posible, use equipos y usuarios que estén familiarizados con el incidente, manejo de virus y vulnerabilidades.
  • Investigue la causa.
    • Existen dos razones para investigar la causa de un ataque de virus: entender cuáles vulnerabilidades fueron explotadas, por medio de una investigación forense; e investigar la obtención de evidencia para posibles acciones civiles o legales.

      Lo primero a determinar es si el ataque fue perpetrado desde su ambiente operativo y de ser afirmativo el análisis, qué empleados o antiguo(s) empleado(s) están involucrados. De ser necesario probarlo, un experto forense probablemente sea requerido, quien extraerá la información necesaria de los sistemas comprometidos sin alterar la data original.

      El preservar la información es crucial para la interpretación del grado de ocurrencia de actividad maliciosa y para entender la extensión del daño causado. Se puede causar más daño que bien tratando de ejecutar labores forenses sin tener la experiencia necesaria.
  • Mejore las políticas, tecnologías y procedimientos.
    • Una buena política de seguridad incluye metas de alto nivel, a ser usados para conseguir los standards. En el proceso de determinación de los cambios necesarios en la organización, se deben considerar los siguientes:

      Actualizar las políticas para considerar nuevas amenazas.
      Incluir sanciones como parte de las políticas de seguridad. Deshabilitar sistemas que violen las políticas de manera automática y sancionar a las personas involucradas.
      Crear procedimiento para la respuesta a incidentes.
      Clarificar la estructura de procesos de reporte y comunicación entre los departamentos de tecnología y entre los equipos, para simplificar el proceso de respuesta ante infecciones.
      Educar a los usuarios y asegurarse de que conocen a quien contactar cuando sospechan de la infección por virus.
      Educar a la alta gerencia sobre la importancia de la protección proactiva contra los virus.
      Requerir respaldo de todos los servidores críticos.
 
Inicio..|..Servicios..|..Soluciones..|..Productos..|..Empresa..|..Soporte..|..Privacidad..|..Contacto
© - TechBiz, S.A. - RUC 1323461-1-611123 DV 54